분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] DEATH 랜섬웨어 분석

TACHYON & ISARC 2019. 12. 9. 10:12

확장자를 변경하지 않는 DEATH Ransomware 감염 주의 

 

1. 개요

최근 ‘DEATH Ransom’이라고 불리는 새로운 랜섬웨어가 발견되었다. 초기에 발견된 ‘DEATH’ 랜섬웨어는 파일 암호화를 진행하지 않았지만 이번에 발견된 ‘DEATH’ 랜섬웨어는 파일 암호화를 진행하며 일반적인 랜섬웨어와 다르게 암호화된 파일의 확장자를 변경하지 않는 특징을 갖고 있다. 
이번 보고서에서는 ‘DEATH Ransomware’에 대하여 알아본다. 


2. 분석 정보

2-1. 파일 정보

 

2-2. 유포 경로

현재 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 피싱메일, P2P 사이트를 통해 유포되었을 것으로 추정된다.

 

2-3. 실행 과정

해당 랜섬웨어가 실행되면 사용자 PC에서 특정 폴더와 파일을 제외하고, 암호화 대상 파일이 존재하는 폴더마다 ‘read_me.txt’ 랜섬노트를 생성한다. 이후 파일 암호화를 진행하고, 파일 암호화가 완료되어도 확장자를 변경 하지 않는다.


3. 악성 동작

3-1. 초기 버전과 현재 버전 비교

초기에 발견된 ‘DEATH’ 랜섬웨어는 파일 암호화를 진행하지 않기 때문에 변경된 확장자(.wctc)를 제거하면 파일을 정상적으로 사용할 수 있다. 반면 현재 발견된 ‘DEATH’ 랜섬웨어는 파일 암호화를 진행한다. 
 

[그림 1] 초기 버전(좌), 현재 버전(우) 파일 암호화 비교



 

[그림 2] 초기 버전(좌), 현재 버전(우) 랜섬노트 비교



 

3-2. 파일 암호화

해당 랜섬웨어는 아래 [표 1]에 해당하는 폴더와 파일을 제외하고 암호화가 진행된다. 

[표 1] 암호화 제외 대상



 

파일 암호화가 완료되어도 파일의 확장자가 변경되지 않는다. 또한 암호화된 파일을 확인해보면 파일 시작지점부터 0x1000(4,096 bytes) 크기만큼만 암호화를 한다. 
 

 

[그림 3] 감염된 파일



 

[그림 4] 감염된.txt 파일 



4. 결론

이번 보고서에서 알아본 "DEATH” 랜섬웨어는 초기 버전의 경우, 변경된 확장자(.wctc)를 제거하면 파일을 정상적으로 사용할 수 있고, 현재 버전의 경우 암호화가 진행되지만, 확장자를 변경하지 않기 때문에 사용자가 피해 사실을 뒤늦게 알아차릴 수 있어 주의가 필요하다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 운영체제의 업데이트는 최신으로 유지해야 하며, 불분명한 링크나 첨부파일을 함부로 열어보아서는 안된다. 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다. 
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.
 

[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화면

 

TACHYON Internet Security 5.0 랜섬웨어 차단 기능 (환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.
 

[그림 6] TACHYON Internet Security 5.0 랜섬웨어 차단 기능